CSRF на JSON API: от разведки до эксплуатации. Практический кейс

https://forum.antichat.xyz/attachmen...23b4c6740f.png

Лирическое отступление
Вавилен был доволен своим рабочем местом в конторе. Он приносил деньги себе и своему начальству, которое давало для этого всю инфраструктуру. Но в один прекрасный день боссы, в очередной раз срубив куш на труде Вавилена, решили с ним не делиться. Так они потеряли ценного сотрудника и получили в ответ обманутого и очень мотивированного человека, жаждущего возмездия.
Постановка цели
После ухода из конторы все доступы к инфраструктуре, разумеется, были отозваны. Но это не проблема. Основные активы бизнеса крутятся в кастомном веб-приложении для обработки данных. Компрометация этого приложения — ключ ко всей нужной информации. В истории браузера, к счастью, остался IP-адрес сервера. С него и начнём.
Изучение цели
Чтобы не шуметь и не светить свой IP на боевом сервере, было принято очевидное решение — развернуть аналогичный софт у себя в лаборатории. ПО распространяется по подписке, но есть семидневный триал с предоставлением VPS. Идеально для наших тестов. Регистрируюсь через 10-минутную почту, разворачиваю софт, активирую триал. Можно приступать к вскрытию.
Первое, что нас встречает — стандартная форма логина.

https://forum.antichat.xyz/attachmen...00cf84fdc3.png

Смотрю, как устроен механизм аутентификации. При попытке входа улетает
запрос с телом в формате
. Ничего необычного.
Что там в JWT?
После успешного входа сервер в ответ ставит cookie с JWT:
. Первым делом иду на
, чтобы посмотреть, что внутри.

https://forum.antichat.xyz/attachmen...64e8a3a2b5.png

И тут первый "красный флаг". Внутри токена, в открытом виде (просто закодированном в Base64), лежат поля
и
. Да, пароль в виде хэша (похоже на Blowfish с солью), но сама идея хранить хэш пароля в JWT — это дикая анти-практика.

Важно понимать: JWT по умолчанию не шифруется, а подписывается. Это как паспорт: любой может прочитать ваши данные, но подделать печать (цифровую подпись) без секретного ключа, который есть только у сервера, невозможно. Так что идея подделать токен "в лоб", не зная секрета, отпадает сразу. Но сам факт такой архитектуры уже говорит о многом.
Прощупываем очевидные векторы

• Стандартные креды: Приложение ставится с дефолтным логином
  
  Код:

  ---

  admin

  ---

  . Пароль генерируется, 12 символов, брутить бесполезно.
  
• Перехват трафика: Соединение по умолчанию идет по HTTP. Теоретически можно было бы провернуть MitM-атаку, взломав Wi-Fi, но сотрудники сидят через USB-модемы. Вектор отпадает.
  
• Защита от брутфорса: Пробую перебирать пароли для
  
  Код:

  ---

  admin

  ---

  . Пять неудачных попыток — и мой IP в бане. Попытка обойти бан через заголовок
  
  Код:

  ---

  X-Forwarded-For

  ---

  ни к чему не приводит. Сервер на него не реагирует. Без пула прокси тут делать нечего.
  
• Публичные уязвимости: Гуглю название софта + "vulnerability". Нахожу отчёт восьмилетней давности о классической SQL-инъекции в cookie для обхода аутентификации:
  
  Код:

  ---

  content=text' OR '1'='1

  ---

  . Пробую — дыра давно закрыта. Запускаю на этот параметр Intruder в Burp'е с пачкой популярных пейлоудов для SQLi — тоже безрезультатно.

Раз с аутентификацией всё так глухо, пора посмотреть, что происходит внутри приложения. Векторов два: атаки на серверную часть (RCE, LFI) и на клиентскую (XSS, CSRF).
XSS и CSRF
Проверяю на XSS. В дашборде отображаются разные данные, приходящие в
-параметрах. Загоняю туда всевозможные пейлоуды из популярных списков — приложение всё добросовестно экранирует. Украсть cookie админа через XSS не выйдет.

А что насчёт CSRF (Cross-Site Request Forgery)? По мне так крайне скучная уязвимость, до боли банальная. Но именно на таких банальностях часто и прокалываются. Идея проста: заставить залогиненного пользователя перейти по нашей ссылке, и его браузер сам, от его имени, выполнит нужное нам действие.
Смотрю на критически важное действие — создание нового администратора. И что я вижу? А точнее, чего я не вижу? Никакой защиты от CSRF. Ни случайного токена, ни проверки заголовков. Ничего.

Запрос на создание админа выглядит так:
с телом
:

https://forum.antichat.xyz/attachmen...118f9d7840.png

Тут и кроется главная загвоздка. Обычная HTML-форма не может отправить запрос с
. Но есть старый трюк. С ним пришлось повозиться, но в итоге родился рабочий PoC.

HTML:


Вот такой костыль. Выглядит странно, но именно эта вариация стабильно работала после всех тестов. Серверный парсер оказался достаточно "гибким", чтобы проглотить такой запрос.
Доставка
Эксплойт готов и протестирован в лабе. Осталось доставить его жертве. Подозрительные ссылки никто открывать не будет. Поэтому покупаем домен, созвучный с рабочей тематикой конторы, накидываем простенький сайт-визитку, внедряем наш скрипт.

Дальше — дело техники. Составляем деловое предложение, отправляем на корпоративную почту и делимся ссылкой на наш "рабочий" сайт. Администратор кликает, переходит на сайт... и в этот момент на заднем фоне без его ведома срабатывает наш скрипт. Его браузер, сохранивший легитимную сессию, отправляет запрос на создание нового админа с логином
. Вуаля, атака прошла успешно.
Как защититься?
В первую очередь, разработчики могли бы этого избежать, если бы просто знали о существовании таких атак. Продукт на рынке с десятых годов... могли бы и заказать аудит приложения

Но если серьезно, вот конкретные шаги для защиты от подобной CSRF-атаки на JSON API:

1. SameSite Cookies: Самый эффективный современный метод. Установить для сессионной cookie атрибут
   
   Код:

   ---

   SameSite=Strict

   ---

   или
   
   Код:

   ---

   SameSite=Lax

   ---

   . В режиме
   
   Код:

   ---

   Lax

   ---

   (дефолт во многих браузерах) cookie не будут отправляться при межсайтовых POST-запросах. Это убило бы нашу атаку на корню.
   
2. Anti-CSRF токены: Классика. Генерировать случайный токен для каждой сессии, встраивать его в защищаемые формы/запросы и проверять на сервере.
   
3. Проверка заголовка
   
   Код:

   ---

   Content-Type

   ---

   : Сервер должен строго проверять, что
   
   Код:

   ---

   Content-Type

   ---

   входящего запроса — именно
   
   Код:

   ---

   application/json

   ---

   . Наш трюк с
   
   Код:

   ---

   text/plain

   ---

   бы не прошел.
   
4. Проверка заголовков
   
   Код:

   ---

   Origin

   ---

   или
   
   Код:

   ---

   Referer

   ---

   : Дополнительный рубеж обороны. Сервер может проверять, что запрос пришел с доверенного домена, а не с
   
   Код:

   ---

   evil.com

   ---

   .

Я остался доволен своей работой. А бывшее начальство получило хороший (и дорогой) урок по кибербезопасности.

Взломать роутер в собственной лаборатории?
Зачем нужно ломать роутер, если можно установить Wireshark или написать собственный сниффер?

Да, и что можно было найти в своём трафике, если требуются кукисы или учетка админа?

Учитывая, что пароль оказался "PASSWORD", брутфорс тут не такая уже и плохая идея.
Поднять tor, proxychains и написать банальный bash script, отправляющий по 5 запросов и меняющий IP не составит большого труда.
Как минимум можно было поставить такое задание в фон

какой же тут будет plain text, если подключение идёт через VPS?

Как же будет создана админка, если переданный пароль и его подтверждение разные?
Да и кавычки должны быть парными... такой запрос, похоже, кроме ошибки ничего не создаст

А почему адреса-то разные?

Что-то не совсем понятно, а как пользователь, не являющийся админом, запросит создание админки и мало того, ещё и создаст её?

Привет!
У нас есть: реальная цель, где пользователь сидит за свои пк и отправляет запросы на VPS, а так же лабаратория, где можно затестить софт.
Нет, не в собственной. Заметив что в собственной HTTP, разумно предположить, что у реального пользователя тоже HTTP.
Я представляю это так: формируется запрос в локальной сети, который уходит на VPS. В момент передвижения HTTP пакета по сети, его можно перехватить. В открытом виде можно перехватить логин/пароль/куку.
бро, это пример. Пароль выдаётся вида q1z8JvsQ9xjyC7FL. На скрине с бурпа - скрин где я отправляю запрос на создание админки я передаю NAME PASSWORD в качестве кредов.
Да, именно над таким решением я работал. Но посчитал его нецелесообразным, т.к. стандартный пароль вида q1z8JvsQ9xjyC7FL мне не подобрать.
Повторюсь: Такой воn получился PoC. Выглядит битым, но именно такая вариация работала после всех тестов. Пароль один 123. Проверяйте в работе.
Потому что был найден баг на проекте, сдан разрабам. Была предпринята попытка изменить код, чтобы его нельзя было идентифицировать. Банальная опечатка, сути не меняет.
Вот это более менее дельный вопрос. Т.к. атака точечная, мы кидаем ссылку непосредственно админу. На этапе доставке мы пишем на корпоративную почту цели. Конечно, цель должна быть залогинена в браузере + у неё должны быть привилегии админа.

Привет!)
А что в вашем случае подразумевается под VPS?
Это просто какая-то машина, на которой может работать пользователь?
Или речь идёт о поднятом VPN на VPS?

Ну если лаборатория ваша, то роутер тоже ваш, поэтому повторюсь: зачем нужно ломать роутер, если все данные от лабораторной машины передаются к роутеру по вашей сети (если опять же это не VPN)

Так надо было и скрин делать с другим паролем )

Куда логичнее перехватить эти самые кукисы и самому создать пользователя, а ещё проще выполнить нужные действия, подставляя эти самые кукисы.

Подобным объяснением можно объяснить всё, что угодно, пруфов-то нет )

Вот только почему же у вас в Burp'e тогда запрос не битый?

Как вы смогли догадаться, что он сработал? Вы этот момент опишите

А если этот ваш запрос сработал, зачем нужно было атаковать пользователя, у вас же уже есть админка?

Под VPS я понимаю: Virtual Private Server, услуга, предоставления вычислительной мощности с публичным айпи. Сервер. На этом сервере поднято веб-приложение. Никакого VPN.
В данном примере, я обсуждал теоретическую атаку на локальную сеть конторы. От локальной сети жертвы до их "VPS".
Так это скриншот тестового запроса. Я создал запрос, чтобы перехватить пост запрос на создание акка.
Очень интересно. Расскажи в теории, как в данном случае перехватить куки? Вариант с перехватом трафика отпадает. Да, у нас два варианта для достижения цели. Перехват куки для доступа к его админке или создание нового акка.

PoC - proof of concept, ну русском доказательство.
Вы можете протестировать мой PoC, увидеть что генерируется правильный запрос. Обратите внимание на закрытие скобки
Только что поднял HTTP, и сгенерировал пост запрос. Пароль по итогу 123=.
Да я видел, как и вы гору однообразных CSRF PoC. Но я вас уверяю, попробовав своими руками вы убедитесь, что например там прилетает откуда не возьмись символ равно, и PoC не работает. Я вам предлагаею рабочий варинт, который подтверждает мою находку. Ей богу как при сдаче на hackerOne нахожусь

https://forum.antichat.xyz/attachmen...7530367284.png

Я догадался что он сработал потому что... я его тестировал...

У меня есть админка в моей тестовой лаборатории, а настоящая цель использует свою личную инфраструктуру.